T1078-003-windows-添加用户到本地组
来自ATT&CK的描述
攻击者可能会使用凭据访问技术窃取特定用户或服务账号的凭据,或者在侦察过程的早期通过社会工程捕获凭据以获得首次访问权限。
攻击者可以使用三种账号:默认账号、本地账号和域账号。默认账号是操作系统的内置账号,例如Windows系统上的访客或管理员账号,或者其他类型系统、软件或设备上的默认工厂/提供商账号。本地账号是组织配置给用户、远程支持或服务的账号,或单个系统/服务的管理账号。域账号是AD-DS(活动目录域服务)管理的账号,其访问和权限在域内不同系统和服务之间配置。域账号可以涵盖用户、管理员和服务。
攻击者可以使用窃取的凭据绕过网络内系统上各种资源的访问控制,甚至可用于对远程系统和外部可用服务(如VPN、Outlook Web Access和远程桌面)的持久访问。攻击者还可能通过窃取的凭据获得特定系统的更多权限或网络受限区域的访问权限。攻击者可以选择不将恶意软件或工具与这些凭据提供的合法访问结合使用,这样就更难检测到它们的存在。
默认账号并不限于客户端机器上的访客和管理员,它们还包括为设备(如网络设备和计算机应用)预设的账号,无论这些设备是内部的、开源的还是COTS。如果设备预设了用户名和密码组合而且安装后不更改,将会对组织构成严重威胁,因为它们很容易成为攻击者的目标。同理,攻击者也可能会利用公开披露的私钥或盗取的私钥通过远程服务合法地连接到远程环境。
我们需要关注跨系统网络的账号访问、凭据和权限的重叠,因为攻击者也许能够跨账号和系统切换以获得较高的访问级别(域或企业管理员),从而绕过企业内设置的访问控制。
测试案例
添加用户到本地管理组
检测日志
windows 安全日志
测试复现
C:\Windows\system32>net localgroup administrators admin09 /add
命令成功完成。
测试留痕
已向启用了安全性的本地组中添加某个成员。
主题:
安全 ID: 12306Br0-PC\12306Br0
帐户名: 12306Br0
帐户域: 12306Br0-PC
登录 ID: 0x51893
成员:
安全 ID: 12306Br0-PC\admin09
帐户名: -
组:
安全 ID: BUILTIN\Administrators
组名: Administrators
组域: Builtin
附加信息:
特权: -
检测规则/思路
sigma规则
title: 添加用户到本地组
description: 此规则触发添加到本地Administrators组的用户帐户,这可能是合法活动或特权升级活动的标志。
status: stable
author: 12306Br0(测试+翻译)
date: 2020/06/08
tags:
- attack.privilege_escalation
- attack.t1078
logsource:
product: windows
service: security
detection:
selection:
EventID:
- “4732” #一名用户被添加到安全本地组
- ”4720“ # 已创建用户帐户
selection_group1:
GroupName: 'Administrators' #组名
filter:
SubjectUserName: '*$'
condition: selection and (1 of selection_group*) and not filter
falsepositives:
- 合法用户活动
level: medium
建议
检测方法除了4732之外,也可以通过4720来进行检测。
参考推荐
MITRE-ATT&CK-T1078-003